管理仓库镜像
仓库镜像中包含SWR私有镜像、SWR共享镜像、SWR企业版镜像和三方镜像;SWR相关的镜像是由容器镜像服务(SWR)同步到HSS,三方镜像您可参考接入三方镜像仓接入。
HSS为这些类型镜像提供安全扫描服务,支持漏洞、恶意文件、软件信息、文件信息、基线配置、敏感信息、软件合规、基础镜像信息等检查项,检查项说明如表 仓库镜像检查项所示。
您可以定期扫描镜像安全,以便及时发现并清理安全风险,以提升镜像安全性,让您的资产远离安全威胁。
检查项 |
说明 |
---|---|
漏洞风险 |
检测镜像中存在系统漏洞、应用漏洞。 |
恶意文件 |
检测镜像中存在的恶意文件。 |
软件信息 |
统计镜像中的软件信息。 |
文件信息 |
统计镜像中的文件信息。 |
基线检查 |
|
敏感信息 |
检测镜像中含有敏感信息的文件。
|
软件合规 |
检测不允许使用的软件和工具。 |
基础镜像信息 |
检测未使用基础镜像构建的业务镜像。 |
查看仓库镜像信息
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏,选择
,进入容器管理页面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择
,进入仓库镜像页面。图1 仓库镜像
- 查看仓库镜像信息。
您可以在镜像列表中查看镜像的版本、大小、安全风险等信息。
此外,您也可以做以下操作:- 同步全量镜像
单击“同步全量镜像”,可同步SWR所有类型的镜像。您可以在页面右上角,单击“任务管理”,选择“镜像资产同步”页签,查看镜像同步任务执行进度。
在同步镜像时需要在SWR授权才能正常同步,操作详情请参见SWR授权方法。
- 筛选最新版本的镜像
- 查看镜像详细信息
鼠标悬停在目标镜像的“镜像信息”列,可查看镜像“所属组织”和“仓库类型”。单击镜像名称,可进入镜像详情页面,查看镜像版本和安全扫描状态等信息。
- 同步全量镜像
扫描仓库镜像
您可以手动扫描镜像或设置定时扫描策略定时扫描镜像。安全扫描的时长主要取决于镜像的大小,一般情况下扫描一个镜像可以在三分钟之内完成。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏,选择 ,进入容器管理页面。
- 选择
,进入仓库镜像页面。图2 仓库镜像
- 扫描镜像。
- SWR共享镜像只有镜像状态为“有效”时,可执行安全扫描。
- 多架构镜像不支持手动扫描、定时扫描。
- 立即扫描单个镜像
- 在目标镜像所在行的“操作”列,单击“立即扫描”,弹出安全扫描对话框。
- 确认镜像信息,并单击“确定”,开始扫描。
- 手动扫描多个镜像
- 在页面右上方,单击“手动扫描”,弹出手动扫描对话框。
- 配置手动扫描参数,如图 手动扫描所示,相关参数说明请参见表 手动扫描参数说明。
表2 手动扫描参数说明 参数名称
参数说明
取值样例
扫描风险类型
勾选需要扫描的风险类型。HSS会默认扫描“软件信息”、“文件信息”和“基础镜像”信息,此处无需选择。
全选
三方镜像仓限速
如果您有大量三方镜像待扫描,但您担心集中扫描镜像时占用过多网络带宽,影响您的业务,您可以单击,选择扫描镜像的速度,限制每小时扫描镜像的数量。
不限速
扫描任务数量
由于1个扫描任务会占用您1个Pod资源,您可以设置集群上运行的扫描任务的数量。
例如设置扫描任务数量为2,则只允许集群上运行2个扫描任务。
2
扫描镜像范围
选择扫描“全部镜像”或“指定镜像”。全量扫描时间较长,且开始全量扫描后无法中断扫描,请谨慎操作!
全部镜像
- 单击“确定”,开始扫描。
- 定时扫描镜像
- 在页面右上方,单击“定时扫描策略”,弹出定时扫描策略配置对话框。
- 配置定时扫描参数,如图 定时扫描策略所示,相关参数说明请参见表 定时扫描策略参数说明。
表3 定时扫描策略参数说明 参数名称
参数说明
取值样例
定时扫描策略
定时扫描策略开关,开启后可查看和配置定时扫描参数。
- 表示关闭
- 表示开启
定时扫描周期
单击可选择扫描周期,扫描时段固定为00:00:00 - 07:00:00。
每三天
扫描风险类型
勾选需要扫描的风险类型。HSS会默认扫描“软件信息”、“文件信息”和“基础镜像”信息,此处无需选择。
全选
三方镜像仓限速
如果您有大量镜像待扫描,但您担心集中扫描镜像时占用过多网络带宽,影响您的业务,您可以单击,选择扫描镜像的速度,限制每小时扫描镜像的数量。
不限速
镜像时间范围
选择镜像更新的时间范围。时间范围决定哪些镜像会被扫描。
例如,扫描时间范围选择“最近15天”,那么HSS只会扫描最近15天内更新的镜像,更新时间超过15天的镜像,则不会被扫描。
最近15天
扫描任务数量
由于1个扫描任务会占用您1个Pod资源,您可以设置集群上运行的扫描任务的数量。
例如设置扫描任务数量为2,则只允许集群上运行2个扫描任务。
2
选择镜像
勾选需要扫描的镜像类型。
Swr-private
- 单击“确定”,开始扫描。
- 在页面右上角,单击“任务管理”,选择“镜像扫描”页签,可查看镜像扫描任务执行情况。
查看仓库镜像扫描结果
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏,选择 ,进入容器管理页面。
- 选择
,进入仓库镜像页面。图5 仓库镜像
- 在目标镜像所在行的“操作”列,单击“查看结果”,进入镜像详情页面。
- 查看镜像安全扫描结果。相关参数说明请参见表 安全报告参数说明。
图6 镜像安全报告
表4 安全报告参数说明 参数名称
参数说明
基本信息
展示镜像的基本信息,包括镜像名称、所属组织、镜像版本、镜像大小、漏洞个数、镜像版本最后更新时间以及扫描状态等。
如需重新扫描镜像安全,可以单击“重新扫描”。
漏洞报告
展示镜像系统漏洞和应用漏洞的检测结果。
恶意文件
展示镜像恶意文件的检测结果,检测结果包含恶意文件名称、路径、文件大小等信息。
查看全局私有镜像中存在的恶意文件,详细步骤,请参见查看镜像恶意文件。
软件信息
展示镜像软件信息的统计结果,统计结果包含软件名称、类型、版本以及软件漏洞个数。
单击软件名称前的,可查看该软件中漏洞的漏洞名称、修复紧急度和解决方案。
文件信息
展示镜像文件信息的统计结果,统计结果包含总文件数量、总文件大小以及文件大小排在前50的文件详情。
基线检查
展示镜像基线检查结果,检查结果包含配置检查、口令复杂度策略检查、经典弱口令检查结果。
- 查看配置检查详情和修改建议
- 在基线配置检查页签,勾选目标基线。
- 在目标检测项所在行的检测项列,单击“检测详情,”右侧弹出检测详情页面,可以查看检测项描述以及修改建议。
- 自定义经典弱口令
- 在经典弱口令检测页签,单击“自定义弱口令管理”,进入自定义弱口令详情页面。
- 输入弱口令完成后,单击“确认”。
敏感信息
展示镜像敏感信息的检测结果,检测结果包含敏感信息的危险程度、镜像层路径、文件路径、敏感信息内容等。
如需添加不检测敏感文件的路径,可以单击“敏感文件过滤路径管理”,添加需要过滤的文件路径。
- 仅支持过滤Linux系统文件路径。
- 最多可自定义添加20个路径,多个路径间用回车符号进行分隔。
- 填写示例:/usr/或/lib/test.txt。
软件合规
展示镜像不合规软件的检测结果,检测结果包含不合规软件名称、软件版本、路径、镜像层信息。
基础镜像信息
展示未使用基础镜像构建的业务镜像检测结果,检测结果包含镜像名称、版本、镜像层路径信息。
- 查看配置检查详情和修改建议
导出镜像漏洞报告或基线报告
多架构镜像不支持导出漏洞、基线报告。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏,选择 ,进入容器管理页面。
- 选择
,进入仓库镜像页面。图7 仓库镜像
- 单击镜像列表上方“导出”,选择导出报告类型,导出漏洞或基线报告。
如果您想要导出指定镜像的报告,您可以在漏洞列表上方的搜索框中选择指定类型的镜像后,再单击“导出”。
- 在容器管理界面上方查看导出状态,待导出成功后,在主机本地默认下载文件地址,获取导出的信息。
导出过程中,请勿关闭浏览器页面,否则会导致导出任务中断。